VMware एक्सप्लॉइट सक्रिय, OAuth फ़िशिंग की लहर और LexisNexis में सेंधमारी
CISA ने VMware Aria Operations RCE को सक्रिय रूप से शोषित के रूप में चिह्नित किया। Microsoft ने MFA को बाइपास करने वाले एक परिष्कृत OAuth रीडायरेक्ट हमले का खुलासा किया। LexisNexis ने पुष्टि की कि हैकर्स ने सरकारी कर्मचारी रिकॉर्ड सहित 2GB डेटा चुराया। साथ ही: AkzoNobel पर Anubis रैनसमवेयर का हमला और नकली IT सपोर्ट अभियान Havoc C2 तैनात कर रहे हैं।
🔴 गंभीर: VMware Aria Operations पर सक्रिय हमला
CVE-2026-22719 — तुरंत पैच करें
CISA ने VMware Aria Operations कमांड इंजेक्शन भेद्यता को अपने ज्ञात शोषित भेद्यताओं (KEV) कैटलॉग में जोड़ा है। यह खामी अनप्रमाणित हमलावरों को मनमाने कमांड निष्पादित करने की अनुमति देती है, जिससे पूर्ण रिमोट कोड निष्पादन होता है।
CVSS स्कोर: 8.1 (उच्च) | समय सीमा: संघीय एजेंसियों के लिए 24 मार्च 2026
यह भेद्यता VMware Aria Operations के माइग्रेशन सर्विस कंपोनेंट में मौजूद है। सपोर्ट-सहायता प्राप्त उत्पाद माइग्रेशन के दौरान, एक अनप्रमाणित अभिनेता vmware-casa-workflow.sh में sudoers गलत कॉन्फ़िगरेशन के माध्यम से root के रूप में चलने वाले कमांड इंजेक्ट कर सकता है।
Broadcom ने 24 फरवरी को एक अस्थायी वर्कअराउंड स्क्रिप्ट (aria-ops-rce-workaround.sh) के साथ पैच जारी किए जो कमजोर माइग्रेशन कंपोनेंट को अक्षम करती है। कंपनी ने सक्रिय शोषण की रिपोर्ट को स्वीकार किया लेकिन कहा कि वह «स्वतंत्र रूप से उनकी वैधता की पुष्टि नहीं कर सकती»।
VMSA-2026-0001 में यह भी पैच किया गया:
| CVE | प्रकार | प्रभाव |
|---|---|---|
| CVE-2026-22719 | कमांड इंजेक्शन | अनप्रमाणित RCE |
| CVE-2026-22720 | स्टोर्ड XSS | सेशन हाइजैकिंग |
| CVE-2026-22721 | प्रिविलेज एस्केलेशन | एडमिन एक्सेस |
🟠 OAuth रीडायरेक्ट दुरुपयोग: बड़े पैमाने पर MFA को बाइपास करना
Microsoft Defender के शोधकर्ताओं ने एक परिष्कृत अभियान का खुलासा किया है जहां खतरे के अभिनेता ईमेल और ब्राउज़र फ़िशिंग सुरक्षा को बाइपास करने के लिए वैध OAuth 2.0 रीडायरेक्ट तंत्र का दुरुपयोग करते हैं। हमले मुख्य रूप से सरकारी और सार्वजनिक क्षेत्र के संगठनों को लक्षित करते हैं।
हमला कैसे काम करता है:
- लालच वितरण: ई-हस्ताक्षर अनुरोधों, SSA नोटिस, या मीटिंग आमंत्रणों के रूप में प्रच्छन्न फ़िशिंग ईमेल में OAuth रीडायरेक्ट URL होते हैं
- मूक प्रमाणीकरण विफलता: हमलावर अमान्य स्कोप और
prompt=noneके साथ दुर्भावनापूर्ण OAuth ऐप्स पंजीकृत करते हैं, जो प्रमाणीकरण त्रुटियों को बाध्य करते हैं - रीडायरेक्ट हाइजैक: पहचान प्रदाता पीड़ितों को हमलावर-नियंत्रित रीडायरेक्ट URI पर भेजता है
- क्रेडेंशियल चोरी: EvilProxy अटैकर-इन-द-मिडल फ्रेमवर्क सेशन कुकीज़ को इंटरसेप्ट करते हैं, MFA को बाइपास करते हैं
कुछ वेरिएंट में, पीड़ितों को /download पथ पर रीडायरेक्ट किया जाता है जो स्वचालित रूप से दुर्भावनापूर्ण .LNK फ़ाइलों वाली ZIP फ़ाइलें वितरित करता है। ये DLL साइड-लोडिंग द्वारा अंतिम पेलोड तैनात करने से पहले रिकनेसेंस के लिए PowerShell लॉन्च करते हैं।
मुख्य बात: यह हमला OAuth फ्रेमवर्क में इच्छित व्यवहार का दुरुपयोग करता है। त्रुटि हैंडलिंग तंत्र ठीक वैसे ही काम करता है जैसा मानक निर्दिष्ट करता है — हमलावर बस रीडायरेक्ट प्रवाह को हथियार बना लेते हैं।
🔴 LexisNexis सेंधमारी: सरकारी डेटा उजागर
कानूनी डेटा दिग्गज LexisNexis Legal & Professional ने पुष्टि की है कि हैकर्स ने 24 फरवरी को एक अनपैच्ड React फ्रंटएंड एप्लिकेशन में React2Shell भेद्यता का शोषण करके उनके AWS इंफ्रास्ट्रक्चर में सेंध लगाई।
खतरे के अभिनेता «FulcrumSec» ने सेंधमारी से 2GB संरचित डेटा लीक किया, जिसमें दावा किया गया कि उन्हें इन तक पहुंच मिली:
- 536 Redshift टेबल और 430+ VPC डेटाबेस टेबल
- 53 AWS Secrets Manager सीक्रेट्स प्लेनटेक्स्ट में
- 3.9 मिलियन डेटाबेस रिकॉर्ड
- 21,042 ग्राहक खाते
- 118 .gov ईमेल खाते जिनमें संघीय न्यायाधीश, DOJ वकील और SEC कर्मचारी शामिल हैं
- 45 कर्मचारी पासवर्ड हैश
LexisNexis ने कहा कि समझौता किया गया डेटा «ज्यादातर 2020 से पहले का विरासत, अप्रचलित डेटा» था और इसमें SSN, वित्तीय जानकारी या सक्रिय पासवर्ड शामिल नहीं थे। कंपनी का कहना है कि घुसपैठ को नियंत्रित कर लिया गया है।
🟠 Anubis रैनसमवेयर ने AkzoNobel को निशाना बनाया
डच पेंट और कोटिंग्स दिग्गज AkzoNobel ($12 बिलियन+ राजस्व, 35,000 कर्मचारी, 150+ देश) ने अपने अमेरिकी साइटों में से एक पर नेटवर्क सेंधमारी की पुष्टि की। Anubis रैनसमवेयर गैंग ने 170GB डेटा चुराने का दावा किया है जिसमें शामिल हैं:
- गोपनीय ग्राहक समझौते
- निजी ईमेल पत्राचार
- पासपोर्ट स्कैन
- आंतरिक तकनीकी विनिर्देश
Anubis, दिसंबर 2024 से सक्रिय एक RaaS ऑपरेशन, सहयोगियों को फिरौती भुगतान का 80% प्रदान करता है और मध्य-2025 में एक विनाशकारी डेटा वाइपर क्षमता जोड़ी गई।
🟡 नकली IT सपोर्ट Havoc C2 फ्रेमवर्क तैनात करता है
Huntress शोधकर्ताओं ने पांच संगठनों में एक अभियान की पहचान की जहां हमलावर Havoc कमांड-एंड-कंट्रोल फ्रेमवर्क तैनात करने के लिए IT सपोर्ट स्टाफ के रूप में प्रस्तुत होते हैं। यह तरीका पूर्व Black Basta रैनसमवेयर सहयोगियों द्वारा उपयोग की जाने वाली रणनीतियों की बारीकी से नकल करता है:
- लक्ष्य के इनबॉक्स को स्पैम से भर देना
- IT सपोर्ट के रूप में कॉल करके मदद की पेशकश करना
- Havoc Demon पेलोड और वैध RMM टूल तैनात करना
- लैटरली मूव करना — एक मामले में, 11 घंटे में 9 एंडपॉइंट्स समझौता
लैटरल मूवमेंट की गति डेटा एक्सफ़िल्ट्रेशन या रैनसमवेयर तैनाती के अंतिम लक्ष्यों का संकेत देती है।
📊 अन्य सुर्खियां एक नज़र में
| समाचार | प्रभाव |
|---|---|
| UAE में AWS डेटा सेंटरों पर ईरानी हमले | भौतिक अवसंरचना भेद्यता उजागर; दो सुविधाएं सीधे प्रभावित |
| हवाई विश्वविद्यालय कैंसर केंद्र में सेंधमारी | 1.2 मिलियन व्यक्ति प्रभावित; SSN, स्वास्थ्य डेटा, मतदाता रिकॉर्ड चोरी |
| क्वांटम RSA सफलता | नया एल्गोरिदम सुझाव देता है कि RSA डिक्रिप्शन अपेक्षा से पहले संभव है |
| Android Qualcomm ज़ीरो-डे पैच किया | ग्राफ़िक्स कंपोनेंट में इंटीजर ओवरफ़्लो से मेमोरी करप्शन |
| SloppyLemming पाकिस्तान और बांग्लादेश को निशाना | सरकारी अवसंरचना को लक्षित करने वाली दोहरी मैलवेयर श्रृंखला |
| Facebook विश्वव्यापी आउटेज | 3 मार्च को दुनिया भर में खाते अनुपलब्ध |
Kensai आपकी कैसे सुरक्षा करता है
✅ रियल-टाइम CVE मॉनिटरिंग — CVE-2026-22719 KEV में जोड़े जाने के कुछ ही घंटों में अनुक्रमित और चिह्नित
✅ OAuth हमला पहचान — संदिग्ध OAuth ऐप पंजीकरण और रीडायरेक्ट पैटर्न की निगरानी
✅ क्लाउड इंफ्रास्ट्रक्चर स्कैनिंग — हमलावरों से पहले React2Shell और समान भेद्यताओं का पता लगाना
✅ रैनसमवेयर तत्परता — Anubis RaaS जैसी खतरों के खिलाफ निरंतर एक्सपोज़र प्रबंधन
अनुशंसित कार्रवाइयां
- तत्काल: CVE-2026-22719 के लिए VMware Aria Operations को पैच करें या वर्कअराउंड स्क्रिप्ट लागू करें
- तत्काल: अपने Entra ID टेनेंट में OAuth एप्लिकेशन पंजीकरणों का ऑडिट करें
- आज: React2Shell भेद्यता के लिए React/Node.js फ्रंटएंड की जांच करें
- इस सप्ताह: कंडीशनल एक्सेस नीतियों की समीक्षा करें और OAuth ऐप सहमति को प्रतिबंधित करें
- चालू: नकली IT सपोर्ट सोशल इंजीनियरिंग रणनीतियों पर कर्मचारियों को प्रशिक्षित करें